Le 4 mai 2026, le CERT-FR a publié l'avis CERTFR-2026-AVI-0500. Treize CVE d'un coup, toutes ciblant VMware Tanzu Kubernetes Runtime. Parmi elles, plusieurs permettent à un attaquant d'obtenir des privilèges élevés sur les systèmes compromis — ce qu'on appelle une élévation de privilèges, et qui est, dans la pratique, le scénario le plus redouté après une intrusion initiale.
Ce n'est pas un avis de routine.
Treize failles, un seul scénario redouté
Les CVE listées par le CERT-FR couvrent un spectre large. CVE-2025-61795, CVE-2025-62718, CVE-2025-64718, CVE-2025-65995, CVE-2025-66236, CVE-2025-66614, CVE-2025-67721, CVE-2025-67735, CVE-2025-68157, CVE-2025-68161, CVE-2025-68458, CVE-2025-68470, CVE-2025-68675 — autant d'identifiants qui désignent des points d'entrée documentés, publics, désormais accessibles à quiconque sait chercher.
La logique d'une élévation de privilèges mérite qu'on s'y attarde. Un attaquant n'a pas besoin d'arriver directement en administrateur. Il lui suffit de trouver un premier accès — une application exposée, un composant mal isolé — puis d'exploiter une faille comme celles-ci pour escalader ses droits à l'intérieur du cluster. À ce stade, il peut se déplacer latéralement, exfiltrer des données, déployer un ransomware, ou simplement s'installer discrètement pour une opération longue durée.
Broadcom, qui a racheté VMware en 2023, a publié des correctifs. La documentation technique disponible sur techdocs.broadcom.com indique notamment que Foundation Core pour VMware Tanzu Platform doit être mis à jour vers la version 3.1.7 au minimum, et 3.2.3 pour la branche suivante. L'Isolation Segmentation pour Tanzu Platform est concerné jusqu'aux versions antérieures à 10.2.7+LTS-T et 10.3.4. Le NodeJS Buildpack, lui, est affecté jusqu'à la version 1.8.74.
C'est une surface large. Et c'est précisément là que le problème commence pour beaucoup de PME.
Le patching Kubernetes, ce n'est pas appuyer sur "mettre à jour"
Kubernetes n'est pas un logiciel comme un autre. Contrairement à un antivirus ou un navigateur, une mise à jour de cluster peut impacter des dizaines d'applications qui tournent dessus. Dans une PME, où les équipes techniques sont souvent réduites à un ou deux profils, l'application d'un correctif sur Tanzu Kubernetes Runtime suppose de planifier une fenêtre de maintenance, de tester la compatibilité des workloads, de vérifier les configurations réseau et les politiques de sécurité associées.
Le Centre canadien pour la cybersécurité a lui aussi émis une alerte (AV26-101) sur ces mêmes vulnérabilités, ce qui confirme que le périmètre dépasse largement la France. Ce genre d'avis coordonné entre agences nationales est un signal : les failles sont considérées comme suffisamment sérieuses pour nécessiter une réponse rapide à l'échelle internationale.
Le problème, c'est que "rapide" et "Kubernetes en production" ne cohabitent pas toujours bien. Les entreprises qui ont déployé Tanzu dans le cadre d'une modernisation applicative — souvent avec un intégrateur, parfois sans maintien en condition opérationnelle formalisé — se retrouvent dans une situation inconfortable : elles savent qu'elles doivent patcher, mais elles n'ont pas nécessairement la visibilité sur ce qui tourne, dans quelle version, et avec quelles dépendances.
C'est ici que l'avis du CERT-FR prend toute sa valeur — à condition de le lire au bon moment. Le problème, pour beaucoup de dirigeants, c'est justement ça : ces alertes existent, elles sont publiques, mais elles passent dans le flux RSS de l'ANSSI que personne ne surveille vraiment. regwatch est conçu pour ça — recevoir chaque lundi matin un digest des avis ANSSI et CERT-FR avec le niveau d'impact et l'action attendue résumés en trois lignes, sans avoir à aller fouiller soi-même les bulletins techniques.
Ce que ça révèle sur la dette technique des PME cloud-native
Il y a quelque chose de symptomatique dans cet épisode. VMware Tanzu est une plateforme adoptée par des entreprises qui ont voulu industrialiser leur approche du cloud — des PME en croissance, souvent dans les secteurs tech, industrie ou services financiers. Ce ne sont pas des débutants du numérique. Et pourtant, treize CVE en un seul avis, sur une plateforme d'infrastructure aussi centrale, illustre une réalité que beaucoup préfèrent ne pas regarder en face : la dette technique de sécurité s'accumule même — et parfois surtout — sur les environnements modernes.
Kubernetes a été pensé pour la flexibilité et la scalabilité, pas pour la simplicité de maintenance. La multiplicité des composants — buildpacks, opérateurs, plugins CLI, add-ons spécifiques à l'environnement Windows comme l'Elastic Application Runtime Windows add-on affecté jusqu'à la version 10.2.9+LTS-T — crée autant de surfaces à surveiller. Chacune avec son cycle de vie, ses propres CVE, ses propres délais de correction.
La question pour un dirigeant n'est pas "est-ce qu'on a Tanzu ?". Elle est : "est-ce que quelqu'un dans notre organisation a reçu cet avis du CERT-FR lundi dernier, l'a compris, et a su quoi en faire avant ce soir ?"
Si la réponse est floue, c'est le vrai problème à résoudre.
*Sources : CERT-FR, avis CERTFR-2026-AVI-0500 — Broadcom TechDocs, Security fixes for Tanzu Operations Manager — Canadian Centre for Cyber Security, AV26-101*
Sources
- Multiples vulnérabilités dans VMware Tanzu - CERT-FR
- Multiples vulnérabilités dans les produits VMware - CERT-FR
- Security fixes for Tanzu Operations Manager
- CVE-2026-23949 - Vulnerability-Lookup
- [PDF] Security Measures in VMware Tanzu™ Mission Control™
- VMware security advisory (AV26-101) - Canadian Centre for Cyber Security